BEK nr 46 af 15/01/2019 (Gældende) Udskriftsdato: 7. juli 2019 Ministerium: Erhvervsministeriet Journalnummer: Erhvervsmin., Søfartsstyrelsen, j.nr. 2018030032 Senere ændringer til forskriften Ingen Bekendtgørelse om sikkerhed i net- og informationssystemer af betydning for skibes sikkerhed og deres sejlads 1) I medfør af 3, stk. 1, nr. 2, 5 og 7, 6, nr. 3, og 32, stk. 9, i lov om sikkerhed til søs jf. lovbekendtgørelse nr. 1629 af 17. december 2018, og efter bemyndigelse i henhold til 1, stk. 1, nr. 3, i bekendtgørelse nr. 744 af 24. juni 2013 om henlæggelse af visse beføjelser til Søfartsstyrelsen og om klageadgang m.v. fastsættes: Kapitel 1 Anvendelsesområde og definitioner 1. Denne bekendtgørelse fastsætter bestemmelser om sikkerhed i net- og informationssystemer af betydning for skibes sikkerhed og deres sejlads. 2. I denne bekendtgørelse forstås ved: 1) Operatør af en maritim tjeneste: En offentlig eller privat enhed, der udpeges af Søfartsstyrelsen som operatør af en maritim tjeneste i medfør af 3, stk. 1, og som varetager opgaver, som anvender netog informationssystemer af betydning for skibes sikkerhed og deres sejlads. 2) Net- og informationssystem: a) et elektronisk kommunikationsnet som omhandlet i artikel 2, litra a, i direktiv 2002/21/EF, b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller c) digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse. 3) Sikkerhed i net- og informationssystemer: Evnen for net- og informationssystemer til på et givet sikkerhedsniveau at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer. 4) Hændelse: Enhver begivenhed, der har en egentlig negativ indvirkning på sikkerheden i net- og informationssystemer. 5) Risiko: Enhver rimelig identificerbar omstændighed eller begivenhed, der har en potentiel negativ indvirkning på sikkerheden i net- og informationssystemer. 6) ISM koden: Europa- Parlamentets og Rådets forordning (EF) Nr. 336/2006 af 15. februar 2006 om gennemførelse af den internationale kode for sikker skibsdrift i Fællesskabet og ophævelse af Rådets forordning (EF) nr. 3051/95 eller kapitel IX i bekendtgørelse af Meddelelser fra Søfartsstyrelsen B eller D. 7) Rederi: Ejeren af skibet eller en hvilken som helst anden organisation eller person, som f.eks. operatøren eller bareboat befragteren, som har overtaget ansvaret for driften af skibet fra ejeren, og som i forbindelse med denne ansvarsovertagelse har erklæret sig indforstået med hensyn til overtagelsen af alle pligter og ansvarsområder, som ISM koden pålægger. 1
Kapitel 2 Udpegning af operatører af maritime tjenester 3. Søfartsstyrelsen kan udpege en offentlig eller privat enhed som operatør af en maritim tjeneste. Stk. 2. Ved udpegningen lægger Søfartsstyrelsen vægt på 1) indvirkning på skibes sikkerhed og deres sejlads, 2) anvendelse af net- og informationssystemer og 3) om en hændelse vil få væsentlige forstyrrende virkninger for skibe og deres sejlads. Stk. 3. I vurderingen efter stk. 2, nr. 3, lægger Søfartsstyrelsen vægt på følgende: 1) Antallet af brugere, der er afhængige af tjenesten. 2) Omfanget og varigheden af de konsekvenser, som hændelser kan have på økonomiske og samfundsmæssige aktiviteter eller den offentlige sikkerhed. 3) Det geografiske område, der kan blive berørt af en hændelse. 4) Om der i kraft af alternative måder til levering af den pågældende tjeneste kan opretholdes et tilstrækkeligt tjenesteniveau. 5) Sektorspecifikke forhold. Stk. 4. Skibstrafiktjenesteoperatører (VTS) og tjenester udbudt af offentlige myndigheder vedrørende AIS, udsendelse af korrektionssignaler til navigationssystemer, navigationsadvarsler samt Efterretninger for Søfarende anses som operatører af maritime tjenester. Stk. 5. Søfartsstyrelsen vurderer løbende, dog mindst hvert andet år, hvilke enheder der skal udpeges i medfør af stk. 1. 4. Søfartsstyrelsen tilbagekalder en udpegning af en operatør af en maritim tjeneste, hvis operatøren ikke længere opfylder kriterierne for at være udpeget. Kapitel 3 Rederier og skibe 5. Rederier for skibe, der er omfattet af ISM koden, skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for skibes sikkerhed, når de anvender net- og informationssystemer, i overensstemmelse med de krav som følger af ISM koden og IMO s retningslinjer om styring af maritime cyberrisici (MSC-FAL 1/Cir. 3) 2). Stk. 2. Søfartsstyrelsen kan påbyde rederier for skibe, der ikke er omfattet af stk. 1, at gennemføre foranstaltninger efter stk. 1, hvis de anvender net- og informationssystemer, som indvirker på skibenes sikkerhed og deres sejlads. Stk. 3. Foranstaltningerne efter stk. 1 skal senest være truffet ved den første årlige verifikation af rederiets overensstemmelsesdokument med ISM koden efter den 1. januar 2021. Stk. 4. For rederier der udpeges efter stk. 2, kan Søfartsstyrelsen ud fra en vurdering af skibets anvendelse og størrelse i påbuddet fastsætte de nærmere krav til dokumentation for gennemførelse af foranstaltningerne. Kapitel 4 Krav til operatører af martime tjenester 6. Enheder, som udpeges som operatører af maritime tjenester, jf. 3, skal træffe 1) passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer, som operatøren anvender til at levere den maritime tjeneste, med henblik på at foranstaltningerne skal sikre et sikkerhedsniveau for net- og informationssystemer, der er proportionalt med risiciene, og 2
2) passende foranstaltninger for at forebygge og minimere konsekvensen af en hændelse, der kan have en negativ indvirkning på sikkerheden i de net- og informationssystemer, som anvendes til levering af den maritime tjeneste. Formålet er at sikre kontinuiteten af den maritime tjeneste. Stk. 2. Operatører af maritime tjenester skal senest to år efter udpegningen være certificeret efter en internationalt anerkendt standard for styring af sikkerheden i net- og informationssystemer, eksempelvis DS/EN ISO/IEC 27001 eller tilsvarende. Stk. 3. Søfartsstyrelsen skal orienteres om operatørens valg af standard efter stk. 2, inden operatøren lader sig certificere efter standarden. Stk. 4. Certificeringen skal omfatte den del af operatørens net- og informationssystemer, som operatøren er afhængig af for at levere den maritime tjeneste, og hvor en hændelse vil få væsentlig betydning for skibes sikkerhed og deres sejlads. Stk. 5. I perioden fra udpegning og frem til at operatører af maritime tjenester har opnået certificering, skal de operatører, som er nævnt i stk. 1, med højest 6 måneders intervaller indsende en overordnet status for certificeringsprocessen til Søfartsstyrelsen. 7. Certificering af operatører af maritime tjenester skal udføres som akkrediteret certificering af et certificeringsorgan akkrediteret efter den relevante standard. Akkrediteringen skal være foretaget af enten Den Danske Akkrediteringsfond (DANAK) eller et tilsvarende akkrediteringsorgan, som er medunderskriver af EA s (European co-operation for Accreditation) eller IAF s (International Accreditation Forum s) multilaterale aftale om gensidig anerkendelse dækkende den relevante certificeringsstandard. Stk. 2. Operatører af maritime tjenester skal sende en kopi af certifikatet og eventuelle bilag til Søfartsstyrelsen. Stk. 3. Operatører af maritime tjenester skal straks orientere Søfartsstyrelsen, hvis certifikatet er frataget, suspenderet eller bortfaldet. Kapitel 5 Underretning, videregivelse og offentliggørelse af oplysninger 8. Operatører udpeget efter 3 skal underrette Søfartsstyrelsen og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for kontinuiteten af de maritime tjenester, som de leverer. Stk. 2. Rederier omfattet af 5 skal underrette Søfartsstyrelsen og Center for Cybersikkerhed om hændelser omfattet af denne bekendtgørelse, når de har konsekvenser for skibes sikkerhed og deres sejlads. Stk. 3. Underretning om hændelser skal ske gennem den fælles digitale løsning for indberetning af hændelser til offentlige myndigheder på virk.dk. 9. Underretning i medfør af 8 skal ske hurtigst muligt og normalt senest inden udgangen af den førstkommende hverdag, efter at operatøren har konstateret, at hændelsen har væsentlige konsekvenser for kontinuiteten af den maritime tjeneste. Stk. 2. Såfremt alle oplysninger til brug for underretningen ikke er tilgængelige for operatøren på tidspunktet, hvor underretningen foretages, skal denne afgive en delvis underretning med de tilgængelige oplysninger. En delvis underretning skal snarest muligt følges op af en komplet underretning. 10. Operatører af øvrige maritime tjenester kan på frivillig basis foretage underretning til Søfartsstyrelsen og Center for Cybersikkerhed om hændelser, der har væsentlige konsekvenser for udøvelsen af de maritime tjenester, som de leverer. 11. Søfartsstyrelsen kan efter høring af den underrettende operatør oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse. Stk. 2. Oplysninger til offentligheden efter stk. 1 må ikke indeholde 3
1) oplysninger om tekniske indretninger, fremgangsmåder, drifts- og forretningsforhold el.lign., for så vidt den underrettende operatør gør gældende, at disse oplysninger har væsentlig forretningsmæssig betydning for operatøren, 2) oplysninger, der af Søfartsstyrelsen vurderes at være af væsentlig betydning for statens sikkerhed eller rigets forsvar, 3) oplysninger, der kan medføre fare for enkeltpersoner eller grupper af personer, 4) fortrolige informationer eller 5) oplysninger om enkeltpersoners forhold. Kapitel 6 Dispensation 12. Søfartsstyrelsen kan, inden for de rammer som følger af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for netog informationssystemer i hele Unionen, tillade, at bestemmelserne i 6, stk. 2, og 7 om certificering og akkreditering fraviges, når det skønnes foreneligt med de hensyn, der ligger til grund for de pågældende bestemmelser. Kapitel 7 13. Medmindre strengere straf er forskyldt efter anden lovgivning, straffes med bøde den, der 1) overtræder 5-9 eller 2) tilsidesætter vilkår for en dispensation meddelt i medfør af 12. Straf 14. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel. Kapitel 8 Ikrafttræden m.v. 15. Bekendtgørelsen træder i kraft den 1. februar 2019. 16. Bekendtgørelsen gælder ikke for Færøerne og Grønland. Søfartsstyrelsen, den 15. januar 2019 Per Sønderstrup / Esben Snoer Iversen 4
1) Bekendtgørelsen indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen, EU-Tidende 2016, nr. L 194, side 1. 5
2) Der henvises endvidere til kravene i artikel 3, stk. 5, om minimumsstandarder vedrørende sikringsvurdering af skibe i Europa- Parlamentets og Rådets forordning 725/2004/EF af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter. 6